Windows Hardening Flashcards

Question

Vad står AAA för?

Answer 1

Authentication, Authorization, and Accounting

Answer 2

När du vill konfigurera objekt genom att tilldela GPOs (Group Policy Objects) eller delegera administrativa rättigheter.

Answer 3

En Forest är en samling Trees som delar en gemensam global katalog, schema, logisk struktur och katalogkonfiguration. En Forest representerar säkerhetsgränsen inom vilken användare, datorer, grupper och andra objekt är tillgängliga. Inga användare utanför en Forest kan komma åt resurserna på insidan.

Answer 4

PAM lägger till skydd till privilegierade grupper som kontrollerar åtkomsten på många olika domänanslutna datorer och program på dessa datorer. Detta gör det möjligt för organisationer att se vem deras privilegierade administratörer är och vad de gör.

Answer 5

En global katalogserver är en domänkontrollant som lagrar kopior av alla Active Directory-objekt i din forest .

Answer 6

Multi-master replication model.

Answer 7

Exempelvis: Försök att komma åt och logga in på en viss enhet, oavsett om dessa försök är framgångsrika eller inte. Ändringar i Active Directory-konfigurationer eller användarprofiler. Klient-serveråtkomst från en fjärrmaskin till en Windows-server.

Answer 8

Det är inte möjligt att tillämpa en GPO direkt på en container.

Answer 9

Computers containern

Answer 10

Ett nyckelbaserat autentiseringssystem. Användare loggar in med en PIN-kod eller biometrisk information som är länkad till ett digitalt certifikat eller ett asymmetriskt nyckelpar.

Answer 11

Azure AD Connect

Answer 12

Nej, för redundansskäl är det bäst att alltid ha minst två domänkontrollanter.

Answer 13

SYSVOL-mappen innehåller alla template-inställningar och filer för GPO.

Answer 14

Schema Master - en per forest Domain Naming Master - en per forest Relative ID (RID) Master - en per domän Primary Domain Controller (PDC) Emulator - en per domän Infrastructure Master - en per domän

Answer 15

dcpromo.exe

Answer 16

Kommandoradsverktyget ntdsutil.exe

Answer 17

Stubzoner är som en sekundär zon, men lagrar endast partiell zondata. Dessa zoner är användbara för att minska zonöverföringar genom att skicka förfrågningarna till auktoritativa servrar. Dessa zoner innehåller endast SOA-, NS- och A-records.

Answer 18

Location-based strategy Resource-based strategy Multitenancy-based strategy Organization-based strategy (Det går även att skapa en egen hybridmodell utefter dessa)

Answer 19

Exempelvis för organisationer som tillhandahåller Active Directory-infrastrukturen som en tjänst (IaaS) till andra organisationer. Det kan vara en grupp anslutna organisationer som delar samma domän, outsourcad miljö eller en privat/offentlig molnleverantör.

Answer 20

OU-strukturen ska främst anpassas till administrativa ändamål. Undvik att efterlikna din organisationstruktur, såvida det inte gynnar dig administrativt. Tänk även på att ge rum för framtida expansion.

Answer 21

Windows Server 2008

Answer 22

Filrättigheter i en disk som tilldelats till objektet förblir intakta. Objektet kommer att ärva nya behörigheter från sin nya OU och kommer att förlora alla ärvda behörigheter från föregående OU.

Answer 23

En lista över SID, användarens individuella konto, historiska konton, om användaren har migrerats och varje grupp användaren tillhör.

Answer 24

Domain Administrators.

Answer 25

Ett User Principal Name (UPN) är namnet på en AD systemanvändare i ett e-postadressformat. En UPN (till exempel mario.parada@domain.com) består av användarnamnet, separator (@-symbolen) och domännamnet (UPN-suffix). Tänk på att detta INTE är en email-adress, det följer bara samma struktur.

Answer 26

Det bästa är att markera Marios konto som "disabled" snarare än att radera det. Har användaren ett Exchange-mailkonto så raderas även detta om du raderar kontot.

Answer 27

User Templates kan minska tiden som krävs för att skapa nya användarkonton. De ökar också säkerheten och minskar risken för fel när du ställer in egenskaper för användare. Det är viktigt att du inaktiverar mallkontot så att det inte kan användas för att logga in!

Answer 28

Distributionsgrupper är inte säkerhetsaktiverade (Ej SID). Dessa används endast för email-applikationer. Säkerhetsgrupper är säkerhetsaktiverade (SID) och du använder dem för att tilldela behörigheter till olika resurser. Security är även defaultinställningen för nya grupper.

Answer 29

Distrubutiongruppen tappar ALLA behörigheter den tilldelats, även om ACL:erna fortfarande innehåller SID.

Answer 30

Domain Local Groups Global Groups Universal Groups

Answer 31

Endast synliga i den egna domänen. Av den anledningen kan lokala securitygrupper användas för att bevilja rättigheter och behörigheter endast för resurser som finns i samma domän där den lokala domängruppen finns. Lokala domängrupper kan innehålla Domain Local Groups endast från samma domän, men användare, datorer och alla andra grupptyper från samma domän och betrodda domäner (alla domäner i din forest).

Answer 32

Synliga genom hela foresten, men kan bara innehålla konton och globala grupper från SAMMA domän. Gruppen själv kan vara medlem i Universal- och Local Domain Groups inom vilken domän som helst och Global Groups inom sin egen domän. Global Groups används för att organisera användare som delar samma arbetsuppgifter eller avdelning etc. Du bör inte tilldela behörigheter direkt till Global Groups, Local Domain Groups är mer lämpliga för det.

Answer 33

Synliga genom hela Foresten och kan innehålla konton, Global Groups och andra Universal Groups från vilken domän som helst i foresten (men de kan inte innehålla lokala domängrupper). Universal Groups bör användas för att samla ihop Global Groups. Genom att göra det kan gruppen tilldela behörigheter till resurser på flera domäner.

Answer 34

Identities (I); Global Groups (G); Domain Local Groups (DL); Access (A)

Answer 35

Medlemmar i denna grupp kan utföra maintenance på domänkontrollanter. De har rätt till att logga in lokalt, starta och stoppa tjänster, utföra säkerhetskopiering och återställning, formatera diskar, skapa eller ta bort shares och stänga av domänkontrollanter.

Answer 36

Tilldela användarrättigheter till securitygrupper i Active Directory. Tilldela behörigheter till securitygrupper i syfte att komma åt resurser.

Answer 37

LSA ansvarar för att hantera inloggningar till systemet. När en användare försöker logga in lokalt på systemet genom att ange användarnamn och lösenord anropar LSA Security Accounts Manager (SAM), som hanterar den lagrade kontoinformationen i den lokala SAM-databasen. SAM jämför användarens uppgifter med kontoinformationen i SAM-databasen för att avgöra om användaren har behörighet att komma åt systemet. Godkänns detta så autentiserar SAM användaren genom att skapa en inloggningssession och returnera SID för användaren och SID:n för globala grupper som användaren är medlem i till LSA. LSA ger sedan användaren ett token som innehåller användarens individuella- och grupp-SID och deras rättigheter, vilket ger användaren access att komma åt resurser som denne har behörighet för.

Answer 38

Reseta datorns konto antingen med Active Directory Users and Computers eller Active Directory Administrative Center. Du kan även återställa Secure channel på den lokala datorn med PowerShell kommandot: "Test-ComputerSecureChannel -Repair".

Answer 39

New‐ADUser "Mario Parada" ‐AccountPassword (Read‐Host ‐AsSecureString "Enter password") Om du inte använder parametern -AccountPassword ställs inget lösenord in och användarkontot är inaktiverat.

Answer 40

New ‑ ADGroup ‑Name "SIH20M" - Path "ou = IT, dc = sih, dc = com" ‑GroupScope Global

Answer 41

Hostname, Domain och Top level domain. Exempelvis: mario.sih.com

Answer 42

Exempelvis när en server har både en privat IP-adress i ett lokalt nätverk och en publik adress, dvs en adress som kan nås över Internet. Genom att använda split-DNS kan samma namn leda till antingen den privata IP-adressen eller den publika, beroende på vilken klient som skickar förfrågan. Detta gör det möjligt för lokala klienter att komma åt en server direkt via det lokala nätverket utan att behöva passera via en router.

Answer 43

Ett protokoll för namnresolving som inte använder DNS och är anpassat för IPv6. Network discovery måste vara aktiverat för att det ska fungera. Fungerar endast på Windows Vista/Windows Server 2008 och uppåt.

Answer 44

Först NetBIOS name cachen sedan WINS-servern.

Answer 45

En Root hint innehåller IP-adresserna för DNS-rootservrar.

Answer 46

Zondata lagras i AD DS istället för vanliga zonfiler. Fördelar: - Replikering är snabbare, säkrare och effektivare. - Bättre redundans på grund av att zondata kopieras till alla domänkontrollanter. - Förbättrad säkerhet om säker dynamisk uppdatering är aktiverad. - Inget behov av att schemalägga eller hantera zonöverföringar.

Answer 47

Update-Help

Answer 48

* Restricted (default) * AllSigned * RemoteSigned * Unrestricted * Bypass (ändras enkelt med Set-ExecutionPolicy)

Answer 49

GPO förhindrar inte åtgärden som det har som uppgift att förhindra. Åtgärden tillåts med andra ord.

Answer 50

Group Policy container (GPC) är en AD-container som innehåller GPO-egenskaper, till exempel versioninformation och GPO-status. Group Policy template (GPT) är en filsystemmapp som innehåller policydata, säkerhetsinställningar, skriptfiler bl.a. GPT finns i systemvolymmappen (SysVol) i undermappen: domännamn\Policy.

Answer 51

Domain Admins, Enterprise Admins och Group Policy Creator Owners

Answer 52

- Sites - Domains - OUs

Answer 53

90 minuter per default.

Answer 54

Gpupdate /force

Answer 55

1. Local GPOs 2. Site GPOs 3. Domain GPOs 4. OU GPOs 5. Child OU policies

Answer 56

Administratören kan tilldela varje GPO ett "preferense value" som styr prioritetsordningen mellan GPOs.

Answer 57

Default Domain Policy: Innehåller standardinställningarna för lösenordspolicy, kontoutelåsning och Kerberosprotokoll. Default Domain Controllers Policy: Är länkad till domänkontrollantens OU och bör endast påverka domänkontrollanter. Denna policy innehåller granskningsinställningar och användarrättigheter. Du bör INTE använda dessa för andra ändamål, skapa då ett nytt GPO.

Answer 58

ADMX-filer är administrativa mallar, XML-textfiler som beskriver vad du ser under "Computer Configuration \ Policies \ Administrative Templates" och "User Configuration \ Policies \ Administrative Templates" i Group Policy Editor.

Answer 59

När du är en större organisation och det blir omständigt att manuellt kopiera över ADMX -och ADML-filerna. Då är det smidigare att ha en central lagringsplats där AD-administratörerna kan hämta filerna ifrån. Olika operativsystem kan även hantera filerna olika, vilket en central lagring ordnar åt klienterna.

Answer 60

- Håll datorer säkra med de senaste säkerhetsuppdateringarna. - Konfigurera säkerhetspolicyer, exempelvis lösenordskomplexitet. - Konfigurera brandväggen. - Installera antivirusprogram.

Answer 61

1. Tillämpa alla tillgängliga säkerhetsuppdateringar så snabbt som möjligt efter att de släppts. 2. Följ principen om minst privilegium. 3. Begränsa inloggningen för administratörskonsolen. 4. Begränsa fysisk åtkomst.

Answer 62

UAC-prompten möjliggör för en användare att höja sin säkerhetsstatus till ett administratörskonto utan att logga ut eller byta användare.

Answer 63

Du kan exempelvis se vilken administratör som ändrade inställningar/data på servrar som innehåller mycket konfidentiell data, eller om en specifik användare har varit inne och kollat i kataloger den inte borde kollat i.

Answer 64

SCSI standarden har bäst överföringshastighet. SAS och SSD har ännu högre hastigheter, men är dyrare.

Answer 65

Serial attached SCSI

Answer 66

SAS, dessa finns i utföranden med 15,000rpm och är designade för att vara igång alltid.

Answer 67

Fördelar: Lagringen är ansluten direkt till servern som använder den, vilket gör DAS till det enklaste och billigaste lagringssystemet att distribuera och underhålla. Nackdelar: Att lagra data lokalt på DAS försvårar datacentralisering eftersom data ligger på flera servrar. Samtidigt slukar det processorkraft och RAM.

Answer 68

Det bär SCSI-kommandon (CDBs) över ett TCP / IP-nätverk. Är ett SAN-protokoll (Storage Area Network) som möjliggör det att presentera utspridd lagring som en lokalt enhetlig SCSI-skiva/skivor för klienten. Använder handskakning vid etableringen.

Answer 69

Fibre Channel kräver dedikerade kablar medan iSCSI använder befintliga kablar.

Answer 70

Innehåller en eller flera lagringsenheter, ofta ordnade i logiska, redundanta lagringsbehållare eller RAID. Nätverksansluten lagring flyttar bort ansvaret för fileserving från andra servrar i nätverket och ger snabbare datatillgång, enklare administration och enkel konfiguration.

Answer 71

Ett lagringsnätverk som ger åtkomst till konsoliderad datalagring på blocknivå.

Answer 72

Kombinerar flera fysiska lagringsenheter till en logisk enhet för redundansskäl och/eller prestandaskäl.

Answer 73

Nej, RAID 0 använder sig av striping och placerar ut datan över flera diskar. Skulle en disk fallera så blir all data förlorad. Däremot kan RAID 0 öka prestandan genom att skiva data över flera diskar.

Answer 74

Datan speglas på en eller flera diskar. Ju fler diskar du speglar desto högre redundans får du. Samtidigt tar det större resurser av systemet att skriva till många diskar.

Answer 75

RAID 5 kräver 3 diskar eller mer för att fungera. Det använder sig av striping och placerar datan över flera diskar, men använder sig samtidigt utav PARITET. D.v.s. att det placeras en slags checksumma på varje disk som möjliggör det att räkna ut datan på en fallerad disk med hjälp av checksumman från de andra diskarna. OBS, endast en disk kan fallera. Fallerar fler så försvinner all data.

Answer 76

Det är att köpa in likadana diskar vid samma tillfälle. När diskarna är lika gamla så tenderar de att fallera ungefär samtidigt. Det är inte ovanligt att återskapandeprocessen av data vid ett diskhaveri orsakar ett failure i ytterligare en disk, då stora datamängder ska skrivas över till en ny disk. Sker detta så försvinner all data.

Answer 77

Med RAID6 så har du paritetsdata över flera diskar och en disk med endast paritetsdata. Detta gör att två diskar kan fallera samtidigt utan att data försvinner. Kräver minst 4 diskar.

Answer 78

RAID10 är en kombination av RAID 1 och RAID 0. Du använder både striping och mirroring över flera diskar. Så länge ingen mirror förlorar alla sina diskar är datan säker och åtkomsten snabb. Används ofta i miljöer där pengar inte är ett problem.

Answer 79

En lagringsvirtualiseringsfunktion som du kan använda för att lägga till flera fysiska diskar av olika typ och storlek i en Storage Pool. Detta används sedan för att skapa virtuella enhetliga diskar.

Answer 80

En uppsättning klient- och servertjänster som tillåter en organisation som använder Microsoft Windows- servrar att organisera många distribuerade SMB -filresurser i ett distribuerat filsystem.

Answer 81

MBR (Master Boot Record) är ett äldre partitionsformat med stöd för max 4 partitioner per disk och med en maxstorlek per disk på 2TB. GPT (GUID Partition Table) är ett nyare format med max 128 partitioner per disk och en maxstorlek per disk på 18EB.

Answer 82

Nej, inte utan att förlora all data. Du kan däremot konvertera en Basic till en Dynamic utan att förlora data. När du konverterar från Basic till Dynamisk så tänk på att göra en backup innan för säkerhets skull. Default är en disk alltid en Basic disk.

Answer 83

En Dynamic disk möjliggör det att utföra disk- och volymhantering utan att behöva starta om datorn.

Answer 84

Skapas av ledigt utrymme från flera länkade diskar. Du kan inte spegla en spanned volume och de är INTE feltoleranta.

Answer 85

Resilient File System (ReFS) har bättre resiliency, vilket innebär bättre datakontroll, felkorrigering och skalbarhet.

Answer 86

vhdx har support för upp till 64TB stora diskar jämfört med 2 TB för vhd.

Answer 87

Multipath I/O är feletolerans och prestandaförbättringsteknik som definierar redundanta fysiska vägar mellan CPU: n i ett datorsystem och dess lagringsenheter (exempelvis med iSCSI) genom databussar, controllers och switchar.

Answer 88

Quick - grundläggande funktioner. Advanced - bl.a. stöd för att definiera katalogägare, standarddataklassificering och kvoter Applications - specialicerad för Hyper-V, databaser och andra serverapplikationer.

Answer 89

Trusted Platform Module (TPM).

Answer 90

EFS har endast stöd för NTFS och krypterar endast filer och kataloger. BitLocker krypterar hela disken och kan även användas för att kryptera en hel AD-databas.

Answer 91

Ja, det är möjligt att kryptera hela disken och sedan kryptera filer och kataloger med EFS utöver det.

Answer 92

Filer och kataloger i underliggande kataloger ärver behörigheterna från den överliggande katalogen per default.

Answer 93

List tillåter dig endast att lista katalogens filer och underliggande kataloger. Read låter dig läsa filer också.

Answer 94

Ger användare rätten att bläddra bland mappar för att nå andra filer eller mappar, även om användaren inte har behörighet för de traverserade mapparna.

Answer 95

Genom att lägga till ett dollartecken i slutet av namnet på katalogen. Exempelvis: Mariosdeladekatalog$

Answer 96

Read-behörigheter för alla (utom ägaren då som har full access). OBS, detta gäller endast för de som accessar katalogen över ett nätverk, inte för användare på den lokala datorn. När behörigheter för lokala och delade kataloger kombineras gäller de mest restriktiva behörigheterna, även om den lokala användaren har högre behörigheter.

Answer 97

Ingenting, de förblir intakta. Däremot skapas en ny uppsättning behörigheter för användare som får åtkomst till katalogen via nätverket.

Answer 98

En Discretionary Access Control List (DACL) ansvarar för behörigheter. En System Access Control List (SACL) ansvarar för granskning.

Answer 99

icacls.exe

Answer 100

Samma sak. Det är endast om du kopierar till ett filsystem som inte är NTFS eller ReFS som katalogen/filen tappar sina behörigheter.

Answer 101

1. Ta bort gruppen "Everyone" från behörighetslistorna och ersätt den med gruppen "Authenticated Users". 2. Använd istället den mest begränsade gruppen som innehåller de användare du vill ge åtkomst.

Answer 102

Basic auditing - som är lämplig för äldre operativsystem. Advanced auditing - innehåller mer detaljerad och avancerad funktionalitet.

Answer 103

Granskar försök till att få åtkomst till filer och mappar i en delad mapp. Det loggar en händelse varje gång en fil eller mapp nås. Event ID 5145 genereras när en händelse loggas.

Answer 104

Den kommer per default också under audit. Detta eftersom audits också ärvs på samma sätt som behörigheter.

Answer 105

Den största nackdelen är att det självsignerade certifikatet har ett mycket begränsat giltigt omfång, strikt inom själva applikationen.

Answer 106

Nej, EFS stödjer endast NTFS.

Answer 107

FSRM är en uppsättning verktyg som låter dig bl.a. kontrollera och hantera mängden och typen av data lagrad på dina servrar. Exempelvis: Övervaka eller sätta begränsningar på mängden eller typen filer på ett lagringsmedia eller en katalog.

Answer 108

1. Hård kvot HINDRAR användare från att spara filer efter att ha nått lagringsgränsen och den genererar meddelanden när datamängden når varje förkonfigurerad gräns. 2. Mjuk kvot tillämpar inte kvotgränsen, men den genererar konfigurerade varningsmeddelanden.

Answer 109

Get-FsrmQuota Exempel: Get-FsrmQuota -Path "C: \ Data \ ..."

Answer 110

Active och Passive. Aktive hindrar dig från att lägga till otillåtna filtyper medan Passive endast varnar.

Answer 111

Information om filanvändning på en filserver. Exempelvis om det finns dubletter, storleken på filer, vilka filer som öppnades senast o.s.v. Du kan schemalägga dessa med Report tasks.

Answer 112

Med hjälp av Classification Rules. Med dessa kan du med hjälp av regular expressions eller strängar klassificera filer i olika grad av hemligstämpling.

Answer 113

Du kan använda AD Rights Management Services för att lösa detta problem. Då kan endast auktoriserad användare komma åt informationen och Håkan hamnar inte i trubbel med sin chef. ( Du kan använda EFS, men detta är opraktiskt och fungerar inte på alla system. )

Answer 114

Det fungerar endast i Microsoft-miljöer. AD RMS kräver .NET

Answer 115

1. Sändaren lokaliserar AD RMS-servern. 2. Servern utfärdar ett certifikat. 3. Sändaren skapar en fil och definierar villkoren den. 4. Sändar-applikationen krypterar filen med en SYMMETRISK Nyckel. 5. Den symmetriska nyckeln krypteras av serverns ASSYMETRISKA PUBLIKA nyckel. 6. Filen skickas till mottagaren som begär en licens från servern. 7. Servern utfärdar en licens. 8. Servern dekrypterar den symmetriska nyckeln. 9. Servern krypterar den symmetriska nyckeln med mottagarens publika nyckel och sammanfogar detta med licensen. Mottagaren kan nu använda filen.

Answer 116

Hjälper dig att förhindra användarkonton eller appar från att använda AD RMS. Låter dig även använda Rights Account Certificate (RAC).

Answer 117

Ett RAC identifierar en specifik användare. Standardgiltighetsperioden för ett RAC är 365 dagar. Utfärdas endast till AD DS-användare som har e-postadresser som är kopplade till deras konton. Ett RAC utfärdas första gången en användare försöker antingen komma åt AD RMS-skyddat innehåll eller utföra en AD RMS-uppgift, till exempel att skapa ett skyddat dokument.

Answer 118

Medlemmarna i denna grupp har full kontroll över allt behörighetsskyddat innehåll som hanteras av klustret och beviljas fullständiga ägarrättigheter i alla användningslicenser. Denna grupp kan dekryptera alla rättighetsskyddade filer och även rädda innehållet i de filer där exempelvis en mall har raderats eller när filens giltighetstid är slut. Default är denna gruppen inaktiverad, då den ska hanteras varsamt. Medlemmar har tillgång till allt AD RMS-skyddat innehåll.

Answer 119

För att kunna kryptera en fil med EFS måste du ha fått ett EFS-certifikat utfärdat.

Answer 120

GAL är en skrivskyddad adressbok som delas över nätverket med exempelvis LDAP. I GAL kan det även finnas certifikat länkade till mottagaren som kan användas av avsändaren för att kryptera meddelandet.

Answer 121

NAP är en utdaterad Microsoft-teknik för att styra nätverksåtkomst för en dator, baserat på kravlistor. Med NAP kan systemadministratörer för en organisation definiera policys för systemkrav, exempelvis om datorn har de senaste uppdateringarna, om datorn har den senaste versionen av antivirusprogrammen eller om brandväggen är aktiverad.

Answer 122

Delta CRLs.

Answer 123

Certificate Revocation List Distribution Points (CDPs). Dessa visar var du finner CRLs.

Answer 124

AIA (Authority Information Access) är ett X.509 v3-certifikat tillägg. Den innehåller en eller två typer av information: Information om hur man når utfärdaren av det aktuella certifikatet (CA-utfärdaråtkomst). Adress till OCSP-respondern varifrån återkallande av det specifika certifikatet kan kontrolleras.

Answer 125

En fysisk modul som skyddar och hanterar nycklar, utför krypterings och dekryptering för digitala signaturer och andra kryptografiska funktioner. Dessa moduler är vanligtvis ett PCIe eller en extern enhet som ansluts direkt till en dator eller nätverksserver.

Answer 126

Detta gör root-CAn själv. Certifikatet är självsignerat.

Answer 127

Med denna komponent kan routrar, switchar och andra nätverksenheter få certifikat från AD CS.

Answer 128

Fungerar som en proxy mellan Windows-klientdatorer och CA. Det gör det möjligt att ansluta till en CA med en webbläsare för att bl.a: - Begära, förnya och installera utfärdade certifikat. - Hämta CRL. - Ladda ner ett rootcertifikat. - Registrera sig via internet eller över forests (Endast Windows Server 2008 R2 och över.)

Answer 129

Möjliggör att användare får information om certifikatregistreringspolicy. Kombinerat med CES möjliggör det policybaserad certifikatregistrering när klientdatorn inte är medlem i en domän eller när en domänmedlem inte är ansluten till domänen.

Answer 130

Dessa utnyttjar TPM för multifaktorautentisering.

Answer 131

Interna CAs Fördelar: Ger större kontroll över certifikatförvaltning. Billigare jämfört med en offentlig CA. Anpassade mallar och automatisk registrering. Nackdelar: Är per default inte betrodd av externa klienter (webbläsare och operativsystem). Kräver större administration.

Answer 132

Externa CAs Fördelar: Betrodda av många externa klienter (webbläsare och operativsystem). Kräver minimal administration. Nackdelar: Högre kostnad jämfört med en intern CA, kostnaden baseras per certifikat. Certifikatupphandling är långsammare.

Answer 133

Ger interoperabilitet mellan företag och mellan PKI-produkter, då egna certifikat kan certifieras över flera organisationer. Fungerar med olika PKI. Antar fullständig trust för en utomstående CA-hierarki.

Answer 134

CAPolicy.inf

Answer 135

Underordnade certifikatutfärdare som ligger DIREKT under rot-CA i en CA-hierarki. En policy CA utfärdar ENDAST certifikat till andra certifikatutfärdare.

Answer 136

En Stand-alone CA kan fungera utan AD DS och är inte beroende av det på något sätt. En Enterprise CA kräver AD DS, men det ger också flera fördelar, till exempel automatisk registrering.

Answer 137

En certifikatadministratör måste manuellt godkänna alla förfrågningar, vilket kräver större arbetsresurser.

Answer 138

Nej, då måste du göra om allt från början. Var därför noggrann när du installerar en ny CA.

Answer 139

Domain Admins. | eller en grupp med motsvarande behörigheter

Answer 140

1. Specifika användningsområden som Secure Multipurpose Internet Mail Extensions (S/MIME), EFS eller Remote Access Service (RAS). 2. Organisatoriska eller geografiska indelningar. 3. Lastbalansering. 4. För att öka feltoleransen.

Answer 141

``` CA administrator Certificate manager Backup operator Auditor Enrollees ```

Answer 142

1. Kopiera namnen på certifikatsmallarna. 2. Gör en backup i CA-admin konsollen. 3. Exportera Registry subkey. 4. Säkerställ att %SystemRoot%-katalogen ligger på samma ställe på målservern du vill göra en kopia till.

Answer 143

Template version 1, 2, 3, och 4. Även Windows Server 2012, 2012 R2 och 2016 stödjer dessa versioner. Har du äldre enheter än Windows Server 2012 i nätverket kommer dessa inte stödja version 4.

Answer 144

Definierar vilka security principals som har behörigheter att läsa och konfigurera mallen och vilka security principals som kan registrera eller använda automatisk registrering för certifikat.

Answer 145

Tilldela endast behörigheter till globala eller universella grupper. Detta beror på att certifikatmallobjekten lagras i konfigurationens naming context i AD DS. Du bör undvika att tilldela behörigheter för en certifikatmall till enskilda användare eller konton.

Answer 146

``` Single Purpose: Ett enskilt syfte. Exempelvis: Låt användare logga in med en smartkort. EFS kryptering IPSec ``` Multiple-Purpose: Kombinera flera certifikat som har enskilda syften och ofta används tillsammans.

Answer 147

Modifying: När du ändrar så uppdaterar du endast den befintliga mallen. Lämpligt för enklare förändringar. Superseding: När du ersätter en mall så gör du det oftast för att det gamla innehållet inte är tillämpligt längre eller för att du vi slå ihop två andra mallar som gör ungefär samma sak. Vid sammanslagning så börjar den nya mallen automatiskt att användas när de två tidigare utgår.

Answer 148

Exempelvis att nyckeln har läckt ut, den som certifikatet är utfärdat till slutar på sitt jobb eller att nya ändringar måste göras innan det gamla slutar gälla.

Answer 149

1. Certifikatmallen konfigureras med Auto-behörigheter för behöriga användare. 2. CAn konfigureras för att utfärda mallen. 3. Ett GPO för autoenrollment skapas och appliceras på den site/domän/OU som ska använda det. 4. Klienten tar nu emot certifikatet automatiskt vid nästa GPO-refresh.

Answer 150

En användare som har behörigheten att hantera certifikat åt en annan användare. Exempelvis användare på en HR-avdelning är ofta Enrollment Agents, då de behöver behandla andra användares registrering av SmartCards o.s.v. En Enrollment Agent kan endast BEHANDLA en annan användares begäran.

Answer 151

NDES är Microsofts implementering av Simple Certificate Enrollment Protocol (SCEP). Ett kommunikationsprotokoll som gör det möjligt för programvara som körs på routrar och switchar att registrera sig för X.509-certifikat från en CA.

Answer 152

Ett gränssnitt som bl.a. tillhandahåller tjänster för att göra det möjligt att säkra Windows-applikationer som använder kryptering. Det finns bland annat ett CryptoAPI som ansvarar för certifikat-återkallanden och statuskontrol av certifikat.

Answer 153

Certificate discovery, Path validation och att upptäcka återkallanden.

Answer 154

Secure/Multipurpose Internet Mail Extensions. En standard för kryptering av e-post. Den baseras på SSL-liknande certifikat. Varje mottagare av e-post krypterad med S/MIME behöver på detta sätt skaffa ett digitalt certifikat, utfärdat av en CA.

Answer 155

1. Konfigurera KRA-certifikatmallen (Key Recovery Agent). 2. Konfigurera Certificate Managers. Certificate Manager innehar en privat nyckel för giltiga KRA-certifikat. CA-administratören är per default Certificate Manager för alla användare. 3. Aktivera KRA. 4. Konfigurera användarmallar.

Answer 156

Certificate Managern extraherar serienumret för certifikatet och hämtar rätt BLOB från CA-databasen. Därefter överför Certificate Managern PKCS # 7 BLOB-filen till KRA. KRA (Key Recovery Agent) återskapar nyckeln. Användaren som förlorat sin nyckel kan sedan importera nyckeln.

Answer 157

Ett Binary Large OBject som innehåller ett fullständigt publikt/privat nyckelpar. Private key BLOBs används av administrativa program för att transportera nyckelpar. Eftersom den privata nyckeldelen av nyckelparet är extremt konfidentiell, hålls dessa BLOBs vanligtvis krypterade med ett symmetriskt chiffer. Dessa key-BLOBs kan också användas av applikationer där nyckelparen lagras i applikationen snarare än att förlita sig på CSP:s lagringsmekanism.

Answer 158

Nej, DNS krävs för att Active Directory ska fungera.

Answer 159

Det är inte möjligt att göra. Du måste radera din domänkontrollant helt och installera om den med en ny functional level. Det är endast möjligt att uppgradera, inte nedgradera.

Answer 160

LDAP möjliggör dataöverföring mellan AD-tjänster och applikationerna som nyttjar dessa.

Answer 161

Du måste välja var Sysvol och log-katalogerna är placerade. Du måste specificera domännamnet som domänkontrollanten ligger under och specificera och lösenordet till AD SRM (Services Restore Mode).

Answer 162

1. Local 2. Sites 3. Domain 4. OUs

Answer 163

De försvinner. Den delade katalogen kommer per default tilldelas de filbehörigheterna som finns på den nya destinationen. Du kan alltså behöva ändra konfigurationerna igen på den nya destinationen.

Answer 164

Alla användare och datorer på SAMMA domän som GPOn.

Answer 165

Gruppen "Administrators".

Answer 166

Account Lockout Policies som länkas till en OU fungerar inte. Account Lockout Policies måste länkas direkt till en domän. Default Domain Policyn styr detta och det är denna som Mario måste ändra.

Answer 167

``` Read (R) Write (W) List Folder Contents (L) Read & Execute (RX) Modify (M) Full Control (FC) ```

Answer 168

Du kan applicera Block Policy Inheritance på OUn du inte vill ska påverkas av GPOt. (OBS, detta fungerar tillexempel inte på Account Lockout Policies)

Answer 169

Traditional Security förutsätter att datan inte har attackerats och att hoten är externa. Assume Breach antager att angriparna redan har utnyttjat svagheter i systemet för att komma åt datat.

Answer 170

Spear-phishing riktar sig mot en specifik individ, medan en ordinarie phishing-attack inte är riktad mot en specifik individ.

Answer 171

En tillvägagångsplan om ett intrång upptäcks. Exempelvis att polisanmäla, gå ut med information till berörda parter, vilka åtgärder som behövs för att det inte ska hända igen o.s.v. I EU/EES regleras delar av detta i GDPR.

Answer 172

Microsoft’s Advanced Threat Analytics. Sysinternals tools kan även vara ett verktyg du kan använda vid ett intrång.

Answer 173

Konfigurera systemet så att alla viktiga event ur säkerhetssynpunkt loggas. Se till att kopiera över loggarna till en extern server kontinuerligt, då angriparen kan försöka radera loggarna för att sopa igen spåren efter sig. Se även till att arkivera loggar så att du kan gå tillbaka i tiden om ett angrepp upptäcks senare.

Answer 174

Till exempel exfiltrera data genom att konfigurera en schemalagd uppgift som utlöser ett skript, som i sin tur laddar upp exfiltrerade data till en remoteserver på internet varje dag. Ett annat exempel kan vara ett skript som skapar ett nytt privilegierat lokalt konto som utlöses som en schemalagd uppgift varje gång datorn startar om.

Answer 175

Diagnostiska verktyg för att felsöka problem och undersöka säkerhetsöverträdelser i Windows-system. Verktygen kan delas in i följande kategorier: - Fil- och diskar - Nätverk - Process - Säkerhet - Systeminformation - Diverse

Answer 176

Event-ID 1. Skapande av en ny process Event-ID 2. Skapande av en ny fil Event-ID 3. Ny nätverksanslutning upptäckt Event-ID 5. Processen avslutad Event-ID 6. Drivrutin laddad Event-ID 7. Bild laddad Event-ID 8. Fjärrtrådsskapande upptäcktes

Answer 177

``` Filer Kataloger Registreringsnycklar Globala objekt Windows-tjänster ```

Answer 178

LogonSessions

Answer 179

Process Explorer är en mer avancerad version av Aktivitetshanteraren. Process Monitor ger dig information i realtid om filsystem, register-, process- och trådaktivitet m.m. Kan användas för avancerad loggning.

Answer 180

Sigcheck. Du kan använda Sigcheck för följande: - Versionsnummer för fil - Filinformation om tidsstämpel - Registrera information om digital signatur, inklusive certifikatkedjor - Kontrollera filens status med VirusTotal

Answer 181

- Endast behöriga användare ska kunna logga in på den. - Programkörning är begränsad till betrodda applikationer som används för att utföra administrativa uppgifter med Device Guard och AppLocker-policyer. - Se till att Credential Guard och BitLocker är aktiverat. - Blockera remote access till datorn.

Answer 182

En server som användare ansluter till med hjälp av Remote Desktop när de vill utföra administrativa uppgifter. Jump servern fungerar som en slags säker brygga mellan två olika säkerhetszoner i nätverket.

Answer 183

LAPS kräver att varje lokalt administratörskonto har ett unikt lösenord. Lokala administratörskonton finns på varje dator i systemet och kan tillexempel användas om anslutningen till domänen skulle förloras. I en stor organisation med tusentals klienter blir detta svårhanterat och LAPS kan underlätta. LAPS gör så att lösenorden är randomiserade och bytas ut automatiskt med jämna mellanrum. Kräver en AD-domänfunktionsnivå som är Windows Server 2003 eller högre. Du installerar LAPS på klienten med en MSI-fil.

Answer 184

Antingen i LAPS UI-applikationen, AD Users and Computers eller genom PowerShell.

Answer 185

Transport mode: Är default-läget. Payloaden är krypterad, men headern är inte det. Används för end-to-end kommunikation mellan två hostar som är IPSec-kompatibla. Tunnel mode: Hela originalpaketet krypteras och omsluts av ett nytt paket med en AH- eller ESP-header. Används för överföring där hostarna inte är IPSec-kompatibla. Används för exempelvis Server-to-server eller Gateway-to-gateway.

Answer 186

Client (Respond Only): Klienter förhandlar bara om säkerhets- och autentiseringsmetoder på begäran. Server (Request Security): Datorn begär alltid säkerhet med Kerberos V.5 för IP-trafik, men tillåter kommunikation utan säkerhet. ``` Secure Server (Require Security): Datorn kräver alltid en säker anslutning för all IP-trafik och för att blockera icke pålitliga datorer. Använder endast Kerberos-autentisering som standard. ```

Answer 187

Domain Admins har fullständiga behörigheter för DNS-servern i sin hemdomän. Enterprise Admins har fullständiga behörigheter för alla DNS-servrar alla domäner i foresten.

Answer 188

DNS Admins

Answer 189

Gör en backup av ntds.dit (AD-databasen), denna fil inkluderar även din DNS-zon.

Answer 190

Adresser till hostar som finns i samma subnät som den begärande klienten kommer att ha en högre prioritet i DNS-svaret till klienten. Om flera A-records är associerade med samma DNS-namn och varje A-record finns på ett annorlunda subnät, returnerar Netmask Ordering ett A-record som finns på samma subnät som klienten som gjorde begäran.

Answer 191

Möjliggör för en DNS server att använda source port randomization när den hanterar DNS-förfrågningar. DNS-servern väljer ett slumpmässigt portnummer som den väljer från poolen, istället för ett fast portnummer.

Answer 192

En sorts regelbok för hur DNS-klienten skickar och tar emot DNS-förfrågningar.

Answer 193

RRL hjälper till att förhindra attacker mot Windows DNS-servrar genom att skydda mot DNS amplification attacker. Default är RRL inaktiverat på Windows DNS-server. Aktivera med kommandot: Set-DNSServerRRL.

Answer 194

Ett protokoll för att binda X.509-certifikat till DNS-namn. Använder DNSSEC för att säkerställa att rätt CA svarar. Ett verktyg för att motverka man-in-the-middle-attacker.

Answer 195

Information: Grundläggande status och händelser i systemet. Error: Allvarliga problem som administratörer bör meddelas om och adressera omedelbart, exempelvis prestandaproblem eller hårdvarufel. Warning: Indikerar ett tillstånd som för närvarande är acceptabelt men som kan bli kritiskt om det inte adresseras.

Answer 196

Exempelvis: Primary Processor Counters - Interrupts per sekund, Queue Length och kapacitet. Memory Counters - Överföring av data mellan disk (Virtuellt minne) och fysiskt minne. Primary Disk Counters - Average Disk Queue Length. Primary Network Counters - Anslutningar, överföring m.m.

Answer 197

Helt enkelt en samling enskilda mätpunkter av systemet du sedan kan använda för att studera i exempelvis Performance Monitor.

Answer 198

1. BIOS/EFI or UEFI initialization 2. OS Loader 3. Main Startup Cycle 4. Post-Startup

Answer 199

WinLoad.exe laddar in operativsystemets nödvändiga delar i minnet.

Answer 200

Secure Boot - ser till att firmware är digitalt signerad och inte har förändrats. Early Launch Anti Malware (ELAM) - Anti-malware som undersöker startdrivrutinerna. Measured Boot - Rootkit-skydd som kontrollerar varje startkomponent inkl. firmware hela vägen upp till startdrivrutinerna. Denna information lagras sedan i en Trusted Platform Module (TPM). Varje uppstart kontrolleras sedan mot informationen i TPM.

Answer 201

Safe Mode - startar med bara de nödvändigaste drivrutinerna och kan möjliggöra felsökning i detta läge. Finns i kommandotolk-, GUI- eller Nätverksläge. Last Known Good Configuration - Systemets konfiguration körs i det tillstånd det var i slutet av den senaste framgångsrika starten och inloggningen.

Answer 202

Directory Services Restore Mode.

Answer 203

Systemets Master Boot Record (MBR) kan vara skadat/saknas på grund av hårddiskfel, korruption eller förstört av malware. Kör kommandot bootrec / fixmbr, annars gäller det att ersätta disken eller installera om från backup.

Answer 204

Volymen som en systemfil ligger på är skadad eller så är filen skadad/raderad. Kör chkdsk-kommandot, vilket försöker reparera volymkorruptionen. OBS, ReFS har automatisk detektion och reparation, därför är chkdsk till för NTFS.

Answer 205

En grupp servrar (noder) arbetar tillsammans för att tillhandahålla en uppsättning applikationer eller tjänster. Skulle en eller flera noder falla bort så kan tjänsten fortfarande fungera efter att enheterna röstar om resurserna som är kvar räcker för att driva tjänsten. Gör de inte det går tjänsten ner. Varje nod har en LUN kopplad till sig. En LUN är en Logical unit number, en logisk disk. Kallas även High-availability cluster.

Answer 206

I en NLB-konfiguration körs flera servrar oberoende och delar inte några resurser. Klientförfrågningar distribueras mellan servrarna, NLB distribuerar belastningen till en annan server om en misslyckas. NLB kan öka prestanda och tillgänglighet.

Answer 207

Nej, vanligtvis brukar Availability beräknas utefter oplanerade avbrott endast.

Answer 208

64 fysiska noder och 8000 virtuella maskiner per kluster.

Answer 209

Automatisk uppdatering av noder i klustret med Windows Update Hotfix genom att hålla klustret online och därmed minimera downtime. I äldre versioner är detta inte möjligt.

Answer 210

Gör det möjligt för ett kluster att räkna fram nya beslut för att återupprätta fungerande klusterroller om en nod skulle fallera.

Answer 211

En fileshare eller disk som används för att upprätthålla kvorumet (beslutsmässigheten). Vittnets roll är att tillhandahålla en ytterligare kvorumröst (en Casting Vote) när det behövs för att säkerställa att ett kluster fortsätter att fungera i händelse av ett avbrott. Måste vara tillgängligt för alla noder i klustret.

Answer 212

En delad klustervolym är en delad disk som innehåller en NTFS- eller ReFS-volym som noder kan läsa och skriva till. CSV möjliggör att flera noder kan dela en enda LUN samtidigt. En LUN är en Logical unit number, en logisk disk. (Tekniskt sett är ett LUN ID-numret för en logisk disk, men har nu blivit synonymt med disken själv)

Answer 213

Node Majority: Mer än hälften av de röstande måste alltid vara närvarande. Endast noder har rösträtt. Node and Disk Majority: Mer än hälften av de röstande måste alltid vara närvarande. Noder har rösträtt, men ett disk-vittne kan kallas in som har en Casting Vote om det blir oavgjort. Node and File Share Majority: Mer än hälften av de röstande måste alltid vara närvarande. Noder har rösträtt, men ett File Share-vittne kan kallas in som har en Casting Vote om det blir oavgjort. ``` No Majority (diktatur): Endast en delad disk har ensam bestämmanderätt över alla enheter. Är disken offline är klustret offline. ```

Answer 214

Säg att du har fem noder i ett kluster, tre i Malmö och två i Kvistofta. Om förbindelsen mellan dessa platser skulle brytas skulle klustret delas upp i två delar där Malmöklustert fortsätter fungera (3/5) och det i Kvistofta stänger ner (2/5). Då skapas ett "Split Brain Syndrome Cluster". När internetförbindelsen återupprättas så har du två noder som är auktoritativa och du kommer ha två kluster som inte samarbetar. ForceQuorum Resiliency är en funktion som utser en ny auktoritativ nod som de andra automatiskt kommer ansluta till och originalklustret återställs.

Answer 215

Med funktionen "Tie Breaker for 50% Node Split". Denna funktion ser till att manipulera röstlängden så att det alltid finns ett udda antal röster. Detta gör att en nod får två röster i detta fallet så att klustret kan fortsätta fungera.

Answer 216

Det bästa är om du har både ett privat nätverk som klustret kan kommunicera på internt och ett publikt nätverk som användare kan använda för att komma åt tjänsten som klustret tillhandahåller. Därför har varje nod oftast flera nätverkskort. Det är möjligt att ha all kommunikation på ett Public-and-private network, men det har inte lika hög prestanda, tillförlitlighet och säkerhet. iSCSI bör alltid ha ett dedikerat nät.

Answer 217

- Operativsystemets kärnfiler och Dynamic-link library (DLL); delade programbibliotek. - Drivrutiner - Applikationer

Answer 218

Ett verktyg för nätverksadministratörer som förenklar uppdateringar på alla datorer i nätverket. Utan denna funktion måste varje dator uppdateras manuellt. Du kan organisera datorer i grupper för specifika uppdateringsregler. Istället för att varje dator laddar ner samma uppdateringsfiler oberoende av varandra, hämtar endast WSUS-servern filerna från Windows Update-servrarna. Detta sparar mycket bandbredd om du har många enheter i nätverket.

Answer 219

Bedömning av inverkan - Hur allvarligt är det som har hänt? Vilka system är påverkade? Bästa tillvägagångssätt för att åtgärda problemet? Kommunikation - Informera berörda parter om felsökningsprocessens framsteg, tidsberäkningar m.m. Dokumentation - Dokumentera allt om hur du går tillväga, detta gör att det blir enklare att gå tillbaks om du har missat något.

Answer 220

1. Define 2. Gather 3. Determine 4. Develop 5. Implement 6. Test 7. Results Är resultatet det önskvärda avslutas processen (8.), annars återgår den till Develop och fortsätter därifrån.

Answer 221

Exempelvis: ``` Event Viewer Task Manager Resource Monitor Reliability Monitor Performance Monitor Command-Line Tools och Windows PowerShell ``` Externa resurser (som exempelvis Microsoft Knowledge Base Articles)

Answer 222

Integrated Lights-Out. Är en proprietär HP-teknik som tillåter serveradministration out-of-band. Detta gör det möjligt att remoteansluta på ett separat nätverk som har en egen dedikerad ethernet-port på HP-enheten. Andra tillverkare har liknande lösningar.